关于依赖关系图
依赖项关系图是存储在存储库中的清单和锁定文件以及使用 依赖项提交 API 提交给存储库的任何依赖项的摘要。 对于每个存储库,它显示 依赖关系,即它所依赖的生态系统和包。
对于每个依赖项,可以看到漏洞严重程度。 还可以使用搜索栏搜索特定依赖项。 依赖项按漏洞严重程度自动排序。
GitHub Enterprise Server 不检索依赖项的授予许可信息,也不计算有关依赖项、存储库和依赖于存储库的包的信息。
向 GitHub Enterprise Server 推送提交以更改支持的清单或锁定文件或将其添加到默认分支时,依赖项关系图会自动更新。
有关受支持的生态系统和清单文件的信息,请参阅“依赖项关系图支持的包生态系统”。
此外,可以使用 依赖项提交 API 从所选的包管理器或生态系统提交依赖项,即使依赖项关系图不支持使用该生态系统进行清单或锁定文件分析也是如此。 使用 依赖项提交 API 提交到项目的依赖项将显示用于提交的检测器以及提交时间。有关 依赖项提交 API 的详细信息,请参阅“使用依赖项提交 API”。
当创建包含针对默认分支的依赖项更改的拉取请求时,GitHub 使用依赖关系图向拉取请求添加依赖项审查。 它们指示依赖项是否包含漏洞,如果是,则指示已修复漏洞的依赖项版本。 有关详细信息,请参阅“关于依赖项评审”。
如果至少具有对存储库的读取访问权限,则可以通过 GitHub UI 或 GitHub REST API,将存储库的依赖项关系图导出为与 SPDX 兼容的软件物料清单 (SBOM)。 有关详细信息,请参阅“导出存储库的软件物料清单”。
依赖关系图可用性
企业所有者可以为企业配置依赖项关系图和Dependabot alerts。 有关详细信息,请参阅 “为企业启用依赖项关系图”和 “为企业启用 Dependabot”。
有关依赖项关系图配置的详细信息,请参阅“配置依赖项关系图”。
包含的依赖项
依赖项关系图包含支持的生态系统中的清单和锁定文件(或等效文件)中详述的存储库的所有依赖项,以及使用 依赖项提交 API 提交的任何依赖项。 这包括:
- 直接依赖项,清单或锁定文件中显式定义或者是使用 依赖项提交 API 提交的直接依赖项
- 这些直接依赖项的间接依赖项,也称为过渡依赖项或子依赖项
仅当在锁定文件中定义间接依赖项从锁定文件 测试和调试代码。 如果生态系统没有锁定文件,则可以使用预创建操作来解析许多生态系统的可传递依赖项。 有关详细信息,请参阅“使用依赖项提交 API”。
有关 GitHub Enterprise Server 如何帮助你了解环境中的依赖项的详细信息,请参阅“关于供应链安全性”。
使用依赖关系图
您可以使用依赖关系图:
- 浏览代码所依赖的存储库。 有关详细信息,请参阅“探索仓库的依赖项”。
- 查看和更新仓库中有漏洞的依赖项。 有关详细信息,请参阅“关于 Dependabot 警报”。
- 查看拉取请求中有漏洞依赖项的相关信息。 有关详细信息,请参阅“审查拉取请求中的依赖项更改”。
延伸阅读
- Wikipedia 上的“依赖项关系图”
- "探索仓库的依赖项"
- "查看和更新 Dependabot 警报"
- "漏洞依赖项检测疑难解答"